Come verificare una chiave GPG importata

34

Sono nuovo di questa cosa PGP. Ecco le mie domande: Verifica
Quando lo faccio, viene visualizzato il messaggio "Questa chiave non è certificata con una firma attendibile". Esiste un modo per renderlo affidabile e migliore, ma qual è il modo corretto per farlo?

[root@dev /]# gpg --verify bind-9.9.4-P2.tar.gz.sha512.asc bind-9.9.4-P2.copiedlink.tar.gz
gpg: Signature made Fri 03 Jan 2014 01:58:50 PM PST using RSA key ID 189CDBC5
gpg: Good signature from "Internet Systems Consortium, Inc. (Signing key, 2013) <codesign@isc.org>"
gpg: WARNING: This key is not certified with a trusted signature!
gpg:          There is no indication that the signature belongs to the owner.
Primary key fingerprint: 2B48 A38A E1CF 9886 435F  89EE 45AC 7857 189C DBC5

Gestione della chiave
Ho scaricato e salvato una chiave pubblica come isc.public.key e l'ho importata utilizzando il comando seguente:

gpg –import isc.public.key

Sono sicuro che ci sia una data di scadenza, quindi come posso fare quanto segue:

  1. Scopri quando scade? In effetti GPG mi dice quando la chiave che ho importato è già scaduta quando faccio un "gpg --verify"?
  2. Aggiorna la chiave. Devo eliminare la chiave e reimportare quando ciò accade?

Grazie!

gpg 
user192702
fonte
Per quanto riguarda la verifica, dovresti cercare un tutorial su GPG, in particolare il termine "rete di fiducia". Per la seconda domanda man gpgsarebbe un ottimo inizio.
Marki,
1
Come ha detto Larsks, una buona sicurezza è difficile; e questo è un piccolo capovolgimento in risposta a una domanda sincera con dettagli ragionevoli, no? Se sbaglio sono sicuro di ricevere uno smackdown e non posso permettermi alcuna perdita di "status" con la mia posizione totale a 118; -} Detto questo ti sto votando per la "rete di fiducia" suggerimento del termine di ricerca.
Sinthia V,

Risposte:

46

Quando lo faccio, viene visualizzato il messaggio "Questa chiave non è certificata con una firma attendibile". Esiste un modo per renderlo affidabile e migliore, ma qual è il modo corretto per farlo?

Una "firma attendibile" è una firma di una chiave di cui ti fidi, sia perché (a) hai verificato personalmente che appartiene alla persona a cui afferma di appartenere, sia (b) perché è stata firmata da una chiave che ti fidi, possibilmente attraverso una serie di chiavi intermedie.

È possibile modificare il livello di attendibilità delle chiavi eseguendo "gpg --edit-key", quindi utilizzando il trustcomando. Questa sezione del manuale GPG tratta della fiducia chiave e merita una lettura: una buona sicurezza è difficile.

Si noti che l'avviso "Questa chiave non è certificata con una firma attendibile" significa sostanzialmente "questa cosa potrebbe essere stata firmata da chiunque". Posso creare una chiave che afferma di essere per "Internet Systems Consortium, Inc. (Signing key, 2013)" e firmare le cose con essa, e GPG confermerà felicemente che sì, le cose che ho firmato sono state firmate con la mia chiave. Per evitare questo problema, dovresti presumibilmente scaricare la chiave ISC GPG dal sito Web e fidarti in definitiva ("Credo che questa entità possa certificare se stessa") o firmarla con la tua chiave privata in definitiva fidata. Senza una corretta gestione della fiducia chiave, la verifica della firma è principalmente teatro.

Scopri quando scade?

L'esecuzione gpg -k <keyid>ti mostrerà quando scade una determinata chiave. Ad esempio, ho creato una chiave che scade domani e gpg -k <keyid>mi dà:

$ gpg -k 0xD4C2B757C3FAE256
pub   2048R/0xD4C2B757C3FAE256 2014-01-26 [expires: 2014-01-27]
uid                 [ultimate] Test User <testuser@example.com>
sub   2048R/0xE87A56CDCC670D7A 2014-01-26 [expires: 2014-01-27]

Puoi vedere che le date di scadenza sulle sottochiavi sono chiaramente contrassegnate. Si noti che le sottochiavi utilizzate per la firma e la crittografia potrebbero avere date di scadenza diverse dalla chiave primaria. Puoi leggere di più sulle sottochiavi qui .

In effetti GPG mi dice quando la chiave che ho importato è già scaduta quando faccio un "gpg --verify"?

Sì, GPG ti avviserà di una chiave scaduta. Si noti che ciò non rappresenta necessariamente un problema: la firma era valida al momento della firma del documento.

Aggiorna la chiave. Devo eliminare la chiave e reimportare quando ciò accade?

È necessario che l'ambiente GPG sia configurato per l'utilizzo di un server di chiavi e che venga eseguito periodicamente gpg --refresh-keys. Ciò aggiornerà tutte le chiavi del tuo portachiavi con nuove informazioni dal server di chiavi, che possono includere:

  • nuove date di scadenza
  • firme aggiuntive sulla chiave

Se una persona o un'organizzazione inizia a utilizzare una nuova chiave, la aggiungeresti semplicemente al tuo portachiavi, non dovrai eliminare la chiave esistente.

larsks
fonte
1
Cosa succede se non esiste un campo di scadenza?
Aaron Franke, il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.